Schülernetzwerk haefft.de stopft Datenleck

Die Passwort-senden-Funktion des schülerVZ-Konkurrenten haefft.de hat von Benutzern hinterlegte E-Mail-Adressen preisgegeben.

In Pocket speichern vorlesen Druckansicht 20 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Bert Ungerer

Auf der vom Häfft-Verlag betriebenen Community-Site haefft.de war es bis heute möglich, zu einem beliebigen Account die vom Anwender hinterlegte E-Mail-Adresse abzurufen. Die bloße Eingabe des haefft.de-Mitgliedsnamens in das Formular zum Senden des Passworts führte zu einer Antwort wie "Dein Passwort wurde an fiktives.beispiel@nixspam.org verschickt". Nach einem Hinweis der iX-Redaktion hat die zuständige Medienagentur schalk&friends das Leck beseitigt. Nun heißt es nur noch "Dein Passwort wurde an dich verschickt".

Für vergessliche Anwender bieten viele Websites das Versenden der Login-Daten an die hinterlegte E-Mail-Adresse per Webformular an. Dort gibt das Mitglied in der Regel entweder seine E-Mail-Adresse oder seinen "Nickname" ein. Der Zusammenhang zwischen beiden gehört zur Privatsphäre der Anwender und sollte nicht ohne deren Zustimmung veröffentlicht werden.

Nutzen Site-Betreiber schlecht gepflegte Adressdatenbanken, kann es sogar für Nichtmitglieder erforderlich sein, ein Passwort anzufordern, um den Account ändern oder löschen zu können. Immer wieder kommt es vor, dass E-Mails an Dritte gehen, die gar nicht selbst einen Account angelegt haben. So sendete auch haefft.de E-Mails an Adressen, die die iX allein zum Einsammeln von Spam nutzt. (un)